Avançar para o conteúdo principal
Não há mais suporte para esse navegador.
Atualize o Microsoft Edge para aproveitar os recursos, o suporte técnico e as atualizações de segurança mais recentes.
Grupos de segurança do Active Directory
- Artigo
- 10/08/2022
- 60 minutos para o fim da leitura
Neste artigo
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Saiba mais sobre grupos de segurança padrão do Active Directory, escopo de grupo e funções de grupo.
O que é um grupo de segurança no Active Directory?
O Active Directory tem duas formas de entidades de segurança comuns: contas de usuário e contas de computador. Essas contas representam uma entidade física que é uma pessoa ou um computador. Uma conta de usuário também pode ser usada como uma conta de serviço dedicada para alguns aplicativos.
Os grupos de segurança são uma maneira de coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis.
No sistema operacional Windows Server, várias contas internas e grupos de segurança são pré-configurados com os direitos e permissões apropriados para executar tarefas específicas. No Active Directory, as responsabilidades administrativas são separadas em dois tipos de administradores:
Administradores de serviço: responsável por manter e fornecer Active Directory Domain Services (AD DS), incluindo o gerenciamento de controladores de domínio e a configuração do AD DS.
Administradores de dados: responsável por manter os dados armazenados no AD DS e em servidores membros do domínio e estações de trabalho.
Como os grupos de segurança do Active Directory funcionam
Use grupos para coletar contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Trabalhar com grupos em vez de com usuários individuais ajuda a simplificar a manutenção e a administração da rede.
O Active Directory tem dois tipos de grupos:
Grupos de segurança: use para atribuir permissões a recursos compartilhados.
Grupos de distribuição: use para criar listas de distribuição de email.
Grupos de segurança
Os grupos de segurança podem fornecer uma maneira eficiente de atribuir acesso aos recursos em sua rede. Ao usar grupos de segurança, você pode:
Atribua direitos de usuário a grupos de segurança no Active Directory.
Atribua direitos de usuário a um grupo de segurança para determinar o que os membros desse grupo podem fazer dentro do escopo de um domínio ou floresta. Os direitos do usuário são atribuídos automaticamente a alguns grupos de segurança quando o Active Directory é instalado para ajudar os administradores a definir a função administrativa de uma pessoa no domínio.
Por exemplo, um usuário que você adicionar ao grupo operadores de backup no Active Directory pode fazer backup e restaurar arquivos e diretórios localizados em cada controlador de domínio no domínio. O usuário pode concluir essas ações porque, por padrão, os direitos do usuário Arquivos e diretórios de backup e arquivos e diretórios de restauração são atribuídos automaticamente ao grupo Operadores de Backup. Portanto, os membros desse grupo herdam os direitos de usuário atribuídos a esse grupo.
Você pode usar Política de Grupo para atribuir direitos de usuário a grupos de segurança para delegar tarefas específicas. Para obter mais informações sobre como usar Política de Grupo, consulte Atribuição de Direitos de Usuário.
Atribua permissões a grupos de segurança para recursos.
As permissões são diferentes dos direitos de usuário. As permissões são atribuídas a um grupo de segurança para um recurso compartilhado. As permissões determinam quem pode acessar o recurso e o nível de acesso, como controle completo ou leitura. Algumas permissões definidas em objetos de domínio são atribuídas automaticamente para permitir vários níveis de acesso a grupos de segurança padrão, como o grupo Operadores de Conta ou o grupo administradores de domínio.
Os grupos de segurança são listados em DACLs (Listas de Controle de Acesso Discricionárias) que definem permissões em recursos e objetos. Quando os administradores atribuem permissões para recursos como compartilhamentos de arquivos ou impressoras, eles devem atribuir essas permissões a um grupo de segurança em vez de a usuários individuais. As permissões são atribuídas uma vez ao grupo em vez de várias vezes a cada usuário individual. Cada conta adicionada a um grupo recebe os direitos atribuídos a esse grupo no Active Directory. O usuário recebe permissões definidas para esse grupo.
Você pode usar um grupo de segurança como uma entidade de email. Enviar uma mensagem de email para um grupo de segurança envia a mensagem a todos os membros do grupo.
Grupos de distribuição
Você pode usar grupos de distribuição apenas para enviar emails para coleções de usuários usando um aplicativo de email como Exchange Server. Os grupos de distribuição não estão habilitados para segurança, portanto, você não pode incluí-los em DACLs.
Escopo do grupo
Cada grupo tem um escopo que identifica até que ponto o grupo é aplicado na árvore de domínio ou na floresta. O escopo de um grupo define onde nas permissões de rede podem ser concedidas para o grupo. O Active Directory define os três escopos de grupo a seguir:
Universal
Global
Domínio Local
Observação
Além desses três escopos, os grupos padrão no contêiner Builtin têm um escopo de grupo do Builtin Local. Esse escopo de grupo e o tipo de grupo não podem ser alterados.
A tabela a seguir descreve os três escopos de grupo e como eles funcionam como grupos de segurança:
Universal | Contas de qualquer domínio na mesma floresta Grupos globais de qualquer domínio na mesma floresta Outros grupos universais de qualquer domínio na mesma floresta | Pode ser convertido no escopo local do domínio se o grupo não for membro de nenhum outro grupo Universal Pode ser convertido em escopo global se o grupo não contiver nenhum outro grupo Universal | Em qualquer domínio na mesma floresta ou florestas confiáveis | Outros grupos universais na mesma floresta Grupos locais de domínio na mesma floresta ou florestas confiáveis Grupos locais em computadores na mesma floresta ou florestas confiáveis |
Global | Contas do mesmo domínio Outros grupos globais do mesmo domínio | Pode ser convertido em escopo universal se o grupo não for membro de nenhum outro grupo global | Em qualquer domínio na mesma floresta ou domínios confiáveis ou florestas | Grupos universais de qualquer domínio na mesma floresta Outros grupos globais do mesmo domínio Grupos locais de domínio de qualquer domínio na mesma floresta ou de qualquer domínio confiável |
Domínio Local | Contas de qualquer domínio ou domínio confiável Grupos globais de qualquer domínio ou qualquer domínio confiável Grupos universais de qualquer domínio na mesma floresta Outros grupos locais de domínio do mesmo domínio Contas, grupos globais e grupos universais de outras florestas e de domínios externos | Pode ser convertido em escopo universal se o grupo não contiver nenhum outro grupo local de domínio | Dentro do mesmo domínio | Outros grupos locais de domínio do mesmo domínio Grupos locais em computadores no mesmo domínio, excluindo grupos internos que têm SIDs (identificadores de segurança) bem conhecidos |
Grupos de identidade especiais
Identidades especiais são conhecidas como grupos. Grupos de identidades especiais não têm associações específicas que você pode modificar, mas podem representar usuários diferentes em momentos diferentes, dependendo das circunstâncias. Alguns desses grupos incluem Proprietário do Criador, Lote e Usuário Autenticado.
Para obter mais informações, consulte grupos de identidades especiais.
Grupos de segurança padrão
Grupos padrão como o grupo administradores de domínio são grupos de segurança que são criados automaticamente quando você cria um domínio do Active Directory. Você pode usar esses grupos predefinidos para ajudar a controlar o acesso aos recursos compartilhados e a delegar funções administrativas específicas a todo o domínio.
Muitos grupos padrão recebem automaticamente um conjunto de direitos de usuário que autorizam os membros do grupo a executar ações específicas em um domínio, como fazer logon em um sistema local ou fazer backup de arquivos e pastas. Por exemplo, um membro do grupo Operadores de Backup pode executar operações de backup para todos os controladores de domínio no domínio.
Quando você adiciona um usuário a um grupo, o usuário recebe todos os direitos de usuário atribuídos ao grupo, incluindo todas as permissões atribuídas ao grupo para quaisquer recursos compartilhados.
Os grupos padrão estão localizados no contêiner Builtin e no contêiner Usuários no Usuários e Computadores do Active Directory. O contêiner Builtin inclui grupos definidos com o escopo Local do Domínio. O contêiner Usuários inclui grupos definidos com escopo global e grupos que são definidos com o escopo local do domínio. Você pode mover grupos localizados nesses contêineres para outros grupos ou unidades organizacionais dentro do domínio, mas não é possível movê-los para outros domínios.
Alguns dos grupos administrativos listados neste artigo e todos os membros desses grupos são protegidos por um processo em segundo plano que verifica periodicamente e aplica um descritor de segurança específico. Esse descritor é uma estrutura de dados que contém informações de segurança associadas a um objeto protegido. Esse processo garante que qualquer tentativa não autorizada bem-sucedida de modificar o descritor de segurança em uma das contas administrativas ou grupos seja substituída com as configurações protegidas.
O descritor de segurança está presente no objeto AdminSDHolder. Se você quiser modificar as permissões em um dos grupos de administradores de serviços ou em qualquer uma de suas contas membros, modifique o descritor de segurança no objeto AdminSDHolder para que ele seja aplicado consistentemente. Tenha cuidado ao fazer essas modificações porque você também está alterando as configurações padrão que são aplicadas a todas as suas contas administrativas protegidas.
Grupos de segurança padrão do Active Directory
A lista a seguir fornece descrições dos grupos padrão localizados nos contêineres Builtin e Users no Active Directory:
- operadores de assistência Controle de Acesso
- Opers. de contas
- Administradores
- Replicação de senha rodc permitida
- Operadores de cópia
- Acesso DCOM do Serviço de Certificado
- Editores de Certificados
- Controladores de domínio clonáveis
- Operadores criptográficos
- Replicação de senha RODC negada
- Proprietários de dispositivo
- Administradores DHCP
- Usuários DHCP
- Usuários COM Distribuídos
- Dnsupdateproxy
- DnsAdmins
- Administradores do domínio
- Computadores de Domínio
- Controladores de Domínio
- Convidados do Domínio
- Usuários de Domínio
- Administrador corporativo
- Administradores de chave corporativa
- Controladores de domínio somente leitura da empresa
- Leitores de Log de Eventos
- Proprietários criadores de política de grupo
- Guests
- Administradores do Hyper-V
- IIS_IUSRS
- Criadores de confiança de floresta de entrada
- Administradores de chave
- Operadores de Configuração de Rede
- Usuários do Log de Desempenho
- Usuários do monitor de desempenho
- Acesso compatível com o Windows 2000
- Operadores de Impressão
- Usuários protegidos
- Servidores RAS e IAS
- Servidores de Ponto de Extremidade do RDS
- Servidores de Gerenciamento de RDS
- Servidores de Acesso Remoto rds
- Controladores de domínio somente leitura
- Usuários da Área de Trabalho Remota
- Usuários do gerenciamento remoto
- Replicador
- Administradores de esquemas
- Operadores de Servidores
- Administradores de réplica de armazenamento
- Contas Gerenciadas pelo Sistema
- Servidores de Licença do Servidor terminal
- Usuários
- Acesso à Autorização do Windows
- WinRMRemoteWMIUsers_
operadores de assistência Controle de Acesso
Os membros desse grupo podem consultar remotamente atributos de autorização e permissões para recursos no computador.
O grupo operadores de assistência Controle de Acesso aplica-se ao sistema operacional Windows Server listado na tabela de grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-32-579 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
Direitos de usuário padrão | Nenhum |
Opers. de contas
O grupo Operadores de Conta concede privilégios limitados de criação de conta a um usuário. Os membros desse grupo podem criar e modificar a maioria dos tipos de contas, incluindo contas para usuários, grupos locais e grupos globais. Os membros do grupo podem fazer logon localmente em controladores de domínio.
Os membros do grupo Operadores de Conta não podem gerenciar a conta de usuário administrador, as contas de usuário dos administradores ou os grupos Administradores, Operadores de Servidor, Operadores de Conta, Operadores de Backup ou Operadores de Impressão . Os membros desse grupo não podem modificar os direitos do usuário.
O grupo Operadores de Conta se aplica ao sistema operacional Windows Server na lista de grupos de segurança padrão do Active Directory .
Observação
Por padrão, esse grupo interno não tem membros. O grupo pode criar e gerenciar usuários e grupos no domínio, incluindo sua própria associação e a do grupo Operadores de Servidor. Esse grupo é considerado um grupo de administradores de serviços porque pode modificar operadores de servidor, que, por sua vez, podem modificar as configurações do controlador de domínio. Como prática recomendada, deixe a associação desse grupo vazia e não a use para nenhuma administração delegada. Esse grupo não pode ser renomeado, excluído ou removido.
SID/RID conhecido | S-1-5-32-548 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | Sim |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
Direitos de usuário padrão | Permitir logon localmente: SeInteractiveLogonRight |
Administradores
Os membros do grupo Administradores têm acesso completo e irrestrito ao computador. Se o computador for promovido a um controlador de domínio, os membros do grupo Administradores terão acesso irrestrito ao domínio.
O grupo Administradores aplica-se ao sistema operacional Windows Server na lista de grupos de segurança padrão do Active Directory .
Observação
O grupo Administradores tem recursos internos que dão aos seus membros controle total sobre o sistema. Esse grupo não pode ser renomeado, excluído ou removido. Esse grupo interno controla o acesso a todos os controladores de domínio em seu domínio e pode alterar a associação de todos os grupos administrativos. Os membros dos seguintes grupos podem modificar a associação de grupo administradores: os administradores de serviço padrão, os administradores de domínio no domínio e os administradores corporativos. Esse grupo tem o privilégio especial de assumir a propriedade de qualquer objeto no diretório ou qualquer recurso em um controlador de domínio. Essa conta é considerada um grupo de administradores de serviços porque seus membros têm acesso total aos controladores de domínio no domínio.
Esse grupo de segurança inclui as seguintes alterações desde o Windows Server 2008:
Alterações de direitos de usuário padrão: permitir logon por meio dos Serviços de Terminal existia no Windows Server 2008 e ele foi substituído por Permitir logon por meio dos Serviços de Área de Trabalho Remota.
Remover o computador da estação de encaixe foi removido no Windows Server 2012 R2.
SID/RID conhecido | S-1-5-32-544 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Administrador, Administradores de Domínio, Administradores Corporativos |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | Sim |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Não |
Direitos de usuário padrão | Ajustar cotas de memória para um processo: SeIncreaseQuotaPrivilege Acesse este computador da rede: SeNetworkLogonRight Permitir logon localmente: SeInteractiveLogonRight Permitir logon por meio dos Serviços de Área de Trabalho Remota: SeRemoteInteractiveLogonRight Fazer backup de arquivos e diretórios: SeBackupPrivilege Verificação de passagem de bypass: SeChangeNotifyPrivilege Alterar a hora do sistema: SeSystemTimePrivilege Alterar o fuso horário: SeTimeZonePrivilege Criar um pagefile: SeCreatePagefilePrivilege Criar objetos globais: SeCreateGlobalPrivilege Criar links simbólicos: SeCreateSymbolicLinkPrivilege Programas de depuração: SeDebugPrivilege Permitir que contas de computador e usuário sejam confiáveis para delegação: SeEnableDelegationPrivilege Forçar o desligamento de um sistema remoto: SeRemoteShutdownPrivilege Representar um cliente após a autenticação: SeImpersonatePrivilege Aumentar a prioridade de agendamento: SeIncreaseBasePriorityPrivilege Carregar e descarregar drivers de dispositivo: SeLoadDriverPrivilege Fazer logon como um trabalho em lote: SeBatchLogonRight Gerenciar log de auditoria e segurança: SeSecurityPrivilege Modificar valores de ambiente de firmware: SeSystemEnvironmentPrivilege Executar tarefas de manutenção de volume: SeManageVolumePrivilege Desempenho do sistema de perfil: SeSystemProfilePrivilege Processo único de perfil: SeProfileSingleProcessPrivilege Remover computador da estação de encaixe: SeUndockPrivilege Restaurar arquivos e diretórios: SeRestorePrivilege Desligar o sistema: SeShutdownPrivilege Assumir a propriedade de arquivos ou outros objetos: SeTakeOwnershipPrivilege |
Replicação de senha RODC permitida
A finalidade desse grupo de segurança é gerenciar uma política de replicação de senha RODC (controlador de domínio somente leitura). Esse grupo não tem membros por padrão e resulta na condição de que os novos RODCs não armazenem credenciais de usuário em cache. O grupo Denied RODC Password Replication contém várias contas de alto privilégio e grupos de segurança. O grupo Denied RODC Password Replication substitui o grupo Denied RODC Password Replication group.
O grupo de Replicação de Senha RODC permitido se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-21-domain-571<> |
Tipo | Local de domínio |
Contêiner padrão | CN=Users DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | Não |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
Direitos de usuário padrão | Nenhum |
Operadores de cópia
Os membros do grupo Operadores de Backup podem fazer backup e restaurar todos os arquivos em um computador, independentemente das permissões que protegem esses arquivos. Os operadores de backup também podem fazer logon e desligar o computador. Esse grupo não pode ser renomeado, excluído ou removido. Por padrão, esse grupo interno não tem membros e pode executar operações de backup e restauração em controladores de domínio. Os membros dos seguintes grupos podem modificar a associação de grupo dos Operadores de Backup: administradores de serviço padrão, administradores de domínio no domínio e administradores corporativos. Os membros do grupo Operadores de Backup não podem modificar a associação de nenhum grupo administrativo. Embora os membros desse grupo não possam alterar as configurações do servidor ou modificar a configuração do diretório, eles têm as permissões necessárias para substituir arquivos (incluindo arquivos do sistema operacional) em controladores de domínio. Como os membros desse grupo podem substituir arquivos em controladores de domínio, eles são considerados administradores de serviço.
O grupo Operadores de Backup se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-32-551 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | Sim |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
Direitos de usuário padrão | Permitir logon localmente: SeInteractiveLogonRight Fazer backup de arquivos e diretórios: SeBackupPrivilege Fazer logon como um trabalho em lote: SeBatchLogonRight Restaurar arquivos e diretórios: SeRestorePrivilege Desligar o sistema: SeShutdownPrivilege |
Acesso DCOM do Serviço de Certificado
Os membros desse grupo podem se conectar às autoridades de certificação na empresa.
O grupo de acesso DCOM do Serviço de Certificado se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-32-domain-574<> |
Tipo | Domínio Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
Direitos de usuário padrão | Nenhum |
Editores de Certificados
Os membros do grupo Cert Publishers estão autorizados a publicar certificados para objetos de usuário no Active Directory.
O grupo Cert Publishers aplica-se ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-21-domain-517<> |
Tipo | Domínio Local |
Contêiner padrão | CN=Users, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Replicação de senha RODC negada |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
Direitos de usuário padrão | Nenhum |
Controladores de domínio clonáveis
Os membros do grupo Controladores de Domínio Clonáveis que são controladores de domínio podem ser clonados. Em Windows Server 2012 R2 e Windows Server 2012, você pode implantar controladores de domínio copiando um controlador de domínio virtual existente. Em um ambiente virtual, você não precisa mais implantar repetidamente uma imagem de servidor preparada usando Sysprep.exe, promovendo o servidor para um controlador de domínio e, em seguida, concluir mais requisitos de configuração para implantar cada controlador de domínio (incluindo a adição do controlador de domínio virtual a esse grupo de segurança).
Para saber mais, consulte Introdução à virtualização do AD DS (Serviços de Domínio Active Directory) (Nível 100).
SID/RID conhecido | S-1-5-21-domain-522<> |
Tipo | Global |
Contêiner padrão | CN=Users, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
Direitos de usuário padrão | Nenhum |
Operadores criptográficos
Os membros desse grupo estão autorizados a executar operações criptográficas. Esse grupo de segurança foi adicionado no Windows Vista Service Pack 1 (SP1) para configurar o Firewall do Windows para IPsec no modo de Critérios Comuns.
O grupo operadores criptográficos se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Esse grupo de segurança foi introduzido no Windows Vista SP1 e não foi alterado nas versões subsequentes.
SID/RID conhecido | S-1-5-32-569 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
Direitos de usuário padrão | Nenhum |
Replicação de senha RODC negada
Senhas de membros do grupo de replicação de senha RODC negada não podem ser replicadas para nenhum RODC.
A finalidade desse grupo de segurança é gerenciar uma política de replicação de senha RODC. Esse grupo contém várias contas de alto privilégio e grupos de segurança. O grupo Denied RODC Password Replication substitui o grupo de Replicação de Senha RODC Permitido .
Esse grupo de segurança inclui as seguintes alterações desde o Windows Server 2008:
- Windows Server 2012 alterou os membros padrão para incluir o Cert Publishers.
SID/RID conhecido | S-1-5-21-domain-572<> |
Tipo | Local de domínio |
Contêiner padrão | CN=Users, DC=<domain>, DC= |
Membros padrão | Editores de Certificados Administradores do domínio Controladores de Domínio Administrador corporativo Proprietários criadores de política de grupo Controladores de domínio somente leitura Administradores de esquemas |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
Direitos de usuário padrão | Nenhum |
Proprietários de dispositivo
Quando o grupo Proprietários de Dispositivos não tem membros, recomendamos que você não altere a configuração padrão para esse grupo de segurança. Alterar a configuração padrão pode dificultar cenários futuros que dependem desse grupo. Atualmente, o grupo Proprietários de Dispositivos não é usado no Windows.
O grupo Proprietários de Dispositivos se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-32-583 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | Não |
É seguro movê-lo para fora do contêiner padrão? | Você pode mover o grupo, mas não recomendamos |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
Direitos de usuário padrão | Permitir logon localmente: SeInteractiveLogonRight Acesse este computador na rede: SeNetworkLogonRight Ignorar verificação de passagem: SeChangeNotifyPrivilege Alterar o fuso horário: SeTimeZonePrivilege |
Administradores DHCP
Os membros do grupo administradores dhcp podem criar, excluir e gerenciar diferentes áreas do escopo do servidor, incluindo os direitos de fazer backup e restaurar o banco de dados DHCP (Dynamic Host Configuration Protocol). Embora esse grupo tenha direitos administrativos, ele não faz parte do grupo Administradores porque essa função é limitada aos serviços DHCP.
O grupo administradores DHCP aplica-se ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-21-domain<> |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Usuários |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | Você pode mover o grupo, mas não recomendamos |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
Direitos de usuário padrão | Nenhum |
Usuários DHCP
Os membros do grupo usuários DHCP podem ver quais escopos estão ativos ou inativos, ver quais endereços IP são atribuídos e exibir problemas de conectividade se o servidor DHCP não estiver configurado corretamente. Esse grupo está limitado ao acesso somente leitura ao servidor DHCP.
O grupo usuários DHCP aplica-se ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-21-domain<> |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Usuários |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | Você pode mover o grupo, mas não recomendamos |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Não |
Direitos de usuário padrão | Nenhum |
Usuários COM Distribuídos
Os membros do grupo Usuários COM Distribuídos podem iniciar, ativar e usar objetos COM distribuídos no computador. O COM (Microsoft Component Object Model) é um sistema independente de plataforma, distribuído e orientado a objetos para criar componentes de software binários que podem interagir. O DCOM (Distributed Component Object Model) permite que os aplicativos sejam distribuídos entre locais que fazem mais sentido para você e para o aplicativo. Esse grupo aparece como um SID até que o controlador de domínio seja feito o controlador de domínio primário e mantenha o mestre de operações (também chamado de função FSMO ou operações mestras simples flexíveis).
O grupo Usuários COM Distribuídos se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-32-562 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | Não |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
Direitos de usuário padrão | Nenhum |
Dnsupdateproxy
Os membros do grupo DnsUpdateProxy são clientes DNS. Eles têm permissão para executar atualizações dinâmicas em nome de outros clientes, como para servidores DHCP. Um servidor DNS pode desenvolver registros de recursos obsoletos quando um servidor DHCP é configurado para registrar dinamicamente registros de recursos de host (A) e ponteiro (PTR) em nome de clientes DHCP usando a atualização dinâmica. Adicionar clientes a esse grupo de segurança atenua esse cenário.
No entanto, para proteger contra registros não seguros ou permitir que membros do grupo DnsUpdateProxy registrem registros em zonas que permitem apenas atualizações dinâmicas protegidas, você deve criar uma conta de usuário dedicada e configurar servidores DHCP para executar atualizações dinâmicas de DNS usando as credenciais (nome de usuário, senha e domínio) dessa conta. Vários servidores DHCP podem usar as credenciais de uma conta de usuário dedicada. Esse grupo só existirá se a função de servidor DNS for ou tiver sido instalada uma vez em um controlador de domínio no domínio.
Para obter mais informações, consulte a propriedade do registro DNS e o grupo DnsUpdateProxy.
SID/RID conhecido | S-1-5-21-domain-variable<>< RI> |
Tipo | Global |
Contêiner padrão | CN=Users, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | Sim |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
Direitos de usuário padrão | Nenhum |
DnsAdmins
Os membros do grupo DnsAdmins têm acesso a informações de DNS de rede. As permissões padrão são Allow: Read, Write, Create All Child objects, Delete Child objects, Special Permissions. Esse grupo só existirá se a função de servidor DNS for ou tiver sido instalada uma vez em um controlador de domínio no domínio.
Para obter mais informações sobre segurança e DNS, consulte DNSSEC em Windows Server 2012.
SID/RID conhecido | S-1-5-21-domain-variable<>< RI> |
Tipo | Builtin Local |
Contêiner padrão | CN=Users, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | Sim |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
Direitos de usuário padrão | Nenhum |
Administradores do domínio
Os membros do grupo de segurança Administradores de Domínio estão autorizados a administrar o domínio. Por padrão, o grupo Administradores de Domínio é membro do grupo Administradores em todos os computadores que ingressaram em um domínio, incluindo os controladores de domínio. O grupo Administradores de Domínio é o proprietário padrão de qualquer objeto criado no Active Directory para o domínio por qualquer membro do grupo. Se os membros do grupo criarem outros objetos, como arquivos, o proprietário padrão será o grupo Administradores.
O grupo Administradores de Domínio controla o acesso a todos os controladores de domínio em um domínio e pode modificar a associação de todas as contas administrativas no domínio. Membros dos grupos de administradores de serviços em seu domínio (Administradores e Administradores de Domínio) e membros do grupo Administradores Corporativos podem modificar a associação de Administradores de Domínio. Esse grupo é considerado uma conta de administrador de serviços porque seus membros têm acesso total aos controladores de domínio em um domínio.
O grupo administradores de domínio se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-21-domain-512<> |
Tipo | Global |
Contêiner padrão | CN=Users, DC=<domain>, DC= |
Membros padrão | Administrador |
Membro padrão de | Administradores Replicação de senha RODC negada |
Protegido pelo AdminSDHolder? | Sim |
É seguro movê-lo para fora do contêiner padrão? | Sim |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
Direitos de usuário padrão | Consulte Administradores Ver Replicação de Senha RODC negada |
Computadores de Domínio
Esse grupo pode incluir todos os computadores e servidores que ingressaram no domínio, excluindo os controladores de domínio. Por padrão, qualquer conta de computador criada automaticamente se torna um membro desse grupo.
O grupo de Computadores de Domínio se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-21-domain-515<> |
Tipo | Global |
Contêiner padrão | CN=Users, DC=<domain>, DC= |
Membros padrão | Todos os computadores ingressados no domínio, excluindo controladores de domínio |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | Sim (mas não é necessário) |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Sim |
Direitos de usuário padrão | Nenhum |
Controladores de Domínio
O grupo Controladores de Domínio pode incluir todos os controladores de domínio no domínio. Novos controladores de domínio são adicionados automaticamente a esse grupo.
O grupo Controladores de Domínio se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-21-domain-516<> |
Tipo | Global |
Contêiner padrão | CN=Users, DC=<domain>, DC= |
Membros padrão | Contas de computador para todos os controladores de domínio do domínio |
Membro padrão de | Replicação de senha RODC negada |
Protegido pelo AdminSDHolder? | Sim |
É seguro movê-lo para fora do contêiner padrão? | No |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
Direitos de usuário padrão | Nenhum |
Convidados do Domínio
O grupo Convidados do Domínio inclui a conta de convidado interna do domínio. Quando os membros desse grupo entram como convidados locais em um computador ingressado no domínio, um perfil de domínio é criado no computador local.
O grupo Convidados do Domínio aplica-se ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-21-domain-514<> |
Tipo | Global |
Contêiner padrão | CN=Users, DC=<domain>, DC= |
Membros padrão | Convidado |
Membro padrão de | Guests |
Protegido pelo AdminSDHolder? | Sim |
É seguro movê-lo para fora do contêiner padrão? | Você pode mover o grupo, mas não recomendamos |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Não |
Direitos de usuário padrão | Ver Convidados |
Usuários do Domínio
O grupo Usuários de Domínio inclui todas as contas de usuário em um domínio. Quando você cria uma conta de usuário em um domínio, ela é adicionada automaticamente a esse grupo.
Por padrão, qualquer conta de usuário criada no domínio se torna automaticamente um membro desse grupo. Você pode usar esse grupo para representar todos os usuários no domínio. Por exemplo, se você quiser que todos os usuários de domínio tenham acesso a uma impressora, poderá atribuir permissões para a impressora a esse grupo ou adicionar o grupo Usuários de Domínio a um grupo Local no servidor de impressão que tenha permissões para a impressora.
O grupo Usuários de Domínio aplica-se ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-21-domain-513<> |
Tipo | Global |
Contêiner padrão | CN=Users, DC=<domain>, DC= |
Membros padrão | Administrador |
krbtgt | |
Membro padrão de | Usuários |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | Sim |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Não |
Direitos de usuário padrão | Ver Usuários |
Administrador corporativo
O grupo administradores corporativos existe apenas no domínio raiz de uma floresta de domínios do Active Directory. O grupo será um grupo Universal se o domínio estiver no modo nativo. O grupo será um grupo global se o domínio estiver no modo misto. Os membros desse grupo estão autorizados a fazer alterações em toda a floresta no Active Directory, como a adição de domínios filho.
Por padrão, o único membro do grupo é a conta Administrador para o domínio raiz da floresta. Esse grupo é adicionado automaticamente ao grupo Administradores em todos os domínios da floresta e fornece acesso completo à configuração de todos os controladores de domínio. Os membros desse grupo podem modificar a associação de todos os grupos administrativos. Os membros dos grupos de administradores de serviço padrão no domínio raiz podem modificar a associação de administradores corporativos. Esse grupo é considerado uma conta de administrador de serviços.
O grupo administradores corporativos se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-21-root< domain-519> |
Tipo | Universal se o domínio estiver no modo nativo; caso contrário, Global |
Contêiner padrão | CN=Users, DC=<domain>, DC= |
Membros padrão | Administrador |
Membro padrão de | Administradores Replicação de senha RODC negada |
Protegido pelo AdminSDHolder? | Sim |
É seguro movê-lo para fora do contêiner padrão? | Sim |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Não |
Direitos de usuário padrão | Consulte Administradores Ver Replicação de Senha RODC negada |
Administradores de chave corporativa
Os membros desse grupo podem executar ações administrativas em objetos-chave dentro da floresta.
SID/RID conhecido | S-1-5-21-domain-527<> |
Tipo | Global |
Contêiner padrão | CN=Users, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | Sim |
É seguro movê-lo para fora do contêiner padrão? | Sim |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Não |
Direitos de usuário padrão | Nenhum |
Controladores de domínio somente leitura da empresa
Os membros desse grupo são RODCs na empresa. Exceto para senhas de conta, um RODC contém todos os objetos e atributos do Active Directory que um controlador de domínio gravável contém. No entanto, as alterações não podem ser feitas no banco de dados armazenado no RODC. As alterações devem ser feitas em um controlador de domínio gravável e replicadas para o RODC.
Os RODCs abordam alguns dos problemas que normalmente são encontrados nas filiais. Esses locais podem não ter um controlador de domínio ou podem ter um controlador de domínio gravável, mas não a segurança física, a largura de banda de rede ou a experiência local para dar suporte a ele.
Para obter mais informações, consulte O que é um controlador de domínio somente leitura?
O grupo controladores de domínio somente leitura da empresa se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-21-root< domain-498> |
Tipo | Universal |
Contêiner padrão | CN=Users, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | Sim |
É seguro movê-lo para fora do contêiner padrão? | |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
Direitos de usuário padrão | Nenhum |
Leitores de Log de Eventos
Os membros desse grupo podem ler logs de eventos de computadores locais. O grupo é criado quando o servidor é promovido a um controlador de domínio.
O grupo Leitores de Log de Eventos se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-32-573 |
Tipo | Domínio Local |
Contêiner padrão | CN=Users, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
Direitos de usuário padrão | Nenhum |
Proprietários criadores de política de grupo
Esse grupo está autorizado a criar, editar e excluir objetos Política de Grupo no domínio. Por padrão, o único membro do grupo é o Administrador.
Para obter informações sobre outros recursos que você pode usar com esse grupo de segurança, consulte Política de Grupo visão geral.
O grupo Política de Grupo Proprietários do Criador aplica-se ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-21-domain-520<> |
Tipo | Global |
Contêiner padrão | CN=Users, DC=<domain>, DC= |
Membros padrão | Administrador |
Membro padrão de | Replicação de senha RODC negada |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | No |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
Direitos de usuário padrão | Ver Replicação de Senha RODC negada |
Convidados
Os membros do grupo Convidados têm o mesmo acesso que os membros do grupo Usuários por padrão, exceto que a conta convidado tem restrições adicionais. Por padrão, o único membro é a conta convidado. O grupo Convidados permite que usuários ocasionais ou únicos entrem com privilégios limitados para a conta de convidado interna de um computador.
Quando um membro do grupo Convidados sai, todo o perfil é excluído. A exclusão de perfil inclui tudo o que é armazenado no diretório %userprofile%, incluindo informações do hive do registro do usuário, ícones de área de trabalho personalizados e outras configurações específicas do usuário. Esse fato implica que um convidado deve usar um perfil temporário para entrar no sistema. Esse grupo de segurança interage com a configuração de Política de Grupo. Quando esse grupo de segurança estiver habilitado, não faça logon em usuários com perfis temporários. Para acessar essa configuração, acesse perfis de usuário dosistema>de modelos administrativos> de configuração>do computador.
Observação
Uma conta de convidado é um membro padrão do grupo de segurança Convidados. Pessoas que não têm uma conta real no domínio podem usar a conta convidado. Um usuário cuja conta esteja desabilitada (mas não excluída) também pode usar a conta Convidado. Não é necessário ter senha para essa conta. Você pode definir direitos e permissões para a conta convidado como em qualquer conta de usuário. Por padrão, a conta convidado é membro do grupo Convidados internos e do grupo Domain Guests Global, que permite que um usuário entre em um domínio. A conta Convidado é desativada por padrão e é recomendável que ela permaneça assim.
O grupo Convidados se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-32-546 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Convidados do Domínio |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Não |
Direitos de usuário padrão | Nenhum |
Administradores do Hyper-V
Os membros do grupo Administradores do Hyper-V têm acesso completo e irrestrito a todos os recursos no Hyper-V. Adicionar membros a esse grupo ajuda a reduzir o número de membros necessários no grupo Administradores e separa ainda mais o acesso.
Observação
Antes de Windows Server 2012, o acesso aos recursos no Hyper-V era controlado em parte pela associação no grupo Administradores.
SID/RID conhecido | S-1-5-32-578 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | Não |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
Direitos de usuário padrão | Nenhum |
IIS_IUSRS
IIS_IUSRS é um grupo interno usado pelo IIS (Serviços de Informações da Internet) a partir do IIS 7. Uma conta interna e um grupo são garantidos pelo sistema operacional para sempre ter um SID exclusivo. O IIS 7 substitui a conta IUSR_MachineName e o grupo IIS_WPG pelo grupo IIS_IUSRS para garantir que os nomes reais que a nova conta e o grupo usam nunca sejam localizados. Por exemplo, independentemente do idioma do sistema operacional Windows instalado, o nome da conta do IIS sempre será IUSR e o nome do grupo será IIS_IUSRS.
Para obter mais informações, consulte Noções básicas sobre contas internas de usuário e grupo no IIS 7.
SID/RID conhecido | S-1-5-32-568 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | IUSR |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
Direitos de usuário padrão | Nenhum |
Criadores de confiança de floresta de entrada
Os membros do grupo Construtores de Confiança da Floresta de Entrada podem criar relações de confiança unidirecionais de entrada para essa floresta. O Active Directory fornece segurança em vários domínios ou florestas por meio de relações de confiança de domínio e floresta. Antes que a autenticação possa ocorrer entre relações de confiança, o Windows deve determinar se o domínio que está sendo solicitado por um usuário, computador ou serviço tem uma relação de confiança com o domínio de logon da conta solicitante.
Para fazer essa determinação, o sistema de segurança do Windows calcula um caminho de confiança entre o controlador de domínio do servidor que recebe a solicitação e um controlador de domínio no domínio da conta solicitante. Um canal seguro se estende a outros domínios do Active Directory por meio de relações de confiança de interdomínio. Esse canal protegido é usado para obter e verificar informações de segurança, incluindo SIDs para usuários e grupos.
Esse grupo aparece como um SID até que o controlador de domínio seja feito o controlador de domínio primário e mantenha a função mestre de operações (FSMO). Esse grupo não pode ser renomeado, excluído ou removido.
Para obter mais informações, consulte Como as relações de confiança de domínio e floresta funcionam: confianças de domínio e floresta.
O grupo Construtores de Confiança de Floresta de Entrada aplica-se ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-32-557 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Não |
Direitos de usuário padrão | Nenhum |
Administradores chave
Os membros desse grupo podem executar ações administrativas em objetos-chave dentro do domínio.
O grupo Administradores de Chaves se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-21-domain-526<> |
Tipo | Global |
Contêiner padrão | CN=Users, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | Sim |
É seguro movê-lo para fora do contêiner padrão? | Sim |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
Direitos de usuário padrão | Nenhum |
Operadores de Configuração de Rede
Os membros do grupo Operadores de Configuração de Rede podem ter os seguintes privilégios administrativos para gerenciar a configuração de recursos de rede:
Modifique as propriedades TCP/IP (Protocolo de Controle de Transmissão) para uma conexão LAN (rede de área local), que inclui o endereço IP, a máscara de sub-rede, o gateway padrão e os servidores de nome.
-
Renomeie as conexões LAN ou conexões de acesso remoto que estão disponíveis para todos os usuários.
Habilitar ou desabilitar uma conexão LAN.
Modifique as propriedades de todas as conexões de acesso remoto dos usuários.
Exclua todas as conexões de acesso remoto dos usuários.
Renomeie todas as conexões de acesso remoto dos usuários.
Problema ipconfige ipconfig /releaseipconfig /renew comandos.
Insira a PUK (chave de desbloqueio de PIN) para dispositivos de banda larga móvel que dão suporte a um cartão SIM.
Esse grupo aparece como um SID até que o controlador de domínio seja feito o controlador de domínio primário e mantenha a função FSMO (mestre de operações). Esse grupo não pode ser renomeado, excluído ou removido.
O grupo Operadores de Configuração de Rede se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-32-556 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Sim |
Direitos de usuário padrão | Nenhum |
Usuários do Log de Desempenho
Os membros do grupo Usuários de Log de Desempenho podem gerenciar contadores de desempenho, logs e alertas localmente no servidor e em clientes remotos sem serem membros do grupo Administradores. Especificamente, os membros deste grupo de segurança:
Pode usar todos os recursos disponíveis para o grupo Monitor de Desempenho Usuários.
Pode criar e modificar conjuntos de coletores de dados depois que o grupo receber o Logon como um direito do usuário do trabalho em lotes .
Aviso
Se você for membro do grupo Usuários do Log de Desempenho, deverá configurar conjuntos de coletores de dados criados para serem executados com suas credenciais.
Observação
Em Windows Server 2016 e posteriores, um membro do grupo Usuários de Log de Desempenho não pode criar Conjuntos de Coletores de Dados. Se um membro do grupo Usuários de Log de Desempenho tentar criar Conjuntos de Coletores de Dados, ele não poderá concluir a ação porque o acesso foi negado.
Não é possível usar o provedor de eventos rastreamento do Kernel do Windows em Conjuntos de Coletores de Dados.
Para que os membros do grupo Usuários de Log de Desempenho iniciem o log de dados ou modifiquem conjuntos de coletores de dados, primeiro o grupo deve receber o logon como um direito do usuário do trabalho em lotes . Para atribuir direito a esse usuário, use o snap-in política de segurança local no Console de Gerenciamento da Microsoft (MMC).
Esse grupo aparece como um SID até que o controlador de domínio seja feito o controlador de domínio primário e mantenha a função FSMO (mestre de operações). Essa conta não pode ser renomeada, excluída ou movida.
O grupo Usuários de Log de Desempenho se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-32-559 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Sim |
Direitos de usuário padrão | Fazer logon como um trabalho em lote: SeBatchLogonRight |
Usuários do monitor de desempenho
Os membros desse grupo podem monitorar contadores de desempenho em controladores de domínio no domínio, localmente e de clientes remotos, sem serem membros dos grupos Administradores ou Usuários do Log de Desempenho. O Monitor de Desempenho do Windows é um snap-in do MMC que fornece ferramentas para analisar o desempenho do sistema. Em um único console, você pode monitorar o desempenho de aplicativos e hardware, personalizar quais dados deseja coletar em logs, definir limites para alertas e ações automáticas, gerar relatórios e exibir dados de desempenho anteriores de várias maneiras.
Especificamente, os membros deste grupo de segurança:
Pode usar todos os recursos que estão disponíveis para o grupo Usuários.
Pode exibir dados de desempenho em tempo real no Monitor de Desempenho.
Pode alterar o Monitor de Desempenho exibir propriedades ao exibir dados.
Não é possível criar ou modificar conjuntos de coletores de dados.
Aviso
Os membros do grupo Monitor de Desempenho Users não podem configurar conjuntos de coleta de dados.
Esse grupo aparece como um SID até que o controlador de domínio seja feito o controlador de domínio primário e mantenha a função FSMO (mestre de operações). Esse grupo não pode ser renomeado, excluído ou removido.
O grupo Monitor de Desempenho Usuários se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-32-558 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Sim |
Direitos de usuário padrão | Nenhum |
Acesso compatível com o Windows 2000
Os membros do grupo de Acesso Compatível pré-Windows 2000 têm acesso de leitura para todos os usuários e grupos no domínio. Esse grupo é fornecido para compatibilidade com versões anteriores, para computadores que executam o Windows NT 4.0 e anterior. Por padrão, o grupo de identidade especial Todos são membros desse grupo. Adicione usuários a esse grupo somente se eles estiverem executando Windows NT 4.0 ou anterior.
Aviso
Esse grupo aparece como um SID até que o controlador de domínio seja feito o controlador de domínio primário e mantenha a função mestre de operações (FSMO).
O grupo de Acesso Compatível pré-Windows 2000 se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-32-554 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Se você escolher o modo de Permissões Compatíveis com o Windows 2000, Todos e Anônimos serão membros. Se você escolher o modo de permissões somente do Windows 2000, usuários autenticados serão membros. |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | Não |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Não |
Direitos de usuário padrão | Acesse este computador da rede: SeNetworkLogonRight Verificação de passagem de bypass: SeChangeNotifyPrivilege |
Operadores de Impressão
Os membros desse grupo podem gerenciar, criar, compartilhar e excluir impressoras que estão conectadas aos controladores de domínio no domínio. Eles também podem gerenciar objetos de impressora do Active Directory no domínio. Os membros desse grupo podem entrar localmente e desligar controladores de domínio no domínio.
Esse grupo não tem membros padrão. Como os membros desse grupo podem carregar e descarregar drivers de dispositivo em todos os controladores de domínio no domínio, adicione usuários com cuidado. Esse grupo não pode ser renomeado, excluído ou removido.
O grupo Operadores de Impressão se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Para obter mais informações, consulte Atribuir configurações de permissão de administrador de impressão delegada e impressora em Windows Server 2012.
SID/RID conhecido | S-1-5-32-550 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | Sim |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Não |
Direitos de usuário padrão | Permitir logon localmente: SeInteractiveLogonRight Carregar e descarregar drivers de dispositivo: SeLoadDriverPrivilege Desligar o sistema: SeShutdownPrivilege |
Usuários protegidos
Os membros do grupo Usuários Protegidos têm proteção extra contra o comprometimento de credenciais durante os processos de autenticação.
Este grupo de segurança foi projetado como parte de uma estratégia para proteger e gerenciar com eficiência as credenciais na empresa. Os membros desse grupo têm automaticamente proteção não configurável aplicada às suas contas. A associação ao grupo Usuários protegidos visa restringir e proteger proativamente por padrão. A única maneira de modificar a proteção de uma conta é remover a conta do grupo de segurança.
Esse grupo global relacionado ao domínio dispara proteção não configurável em dispositivos e computadores host, começando com os sistemas operacionais Windows Server 2012 R2 e Windows 8.1. Ele também dispara proteção não configurável em controladores de domínio em domínios que têm um controlador de domínio primário executando Windows Server 2016 ou Windows Server 2012 R2. Essa proteção reduz consideravelmente o volume de memória das credenciais quando os usuários fazem logon em computadores na rede de um computador não comprometido.
Dependendo do nível funcional de domínio da conta, os membros do grupo Usuários Protegidos são protegidos ainda mais devido a alterações de comportamento nos métodos de autenticação com suporte no Windows:
Os membros do grupo Usuários Protegidos não podem se autenticar usando os seguintes Provedores de Suporte de Segurança (SSPs): NTLM, Autenticação Digest ou CredSSP. As senhas não são armazenadas em cache em um dispositivo que executa Windows 10 ou Windows 8.1, portanto, o dispositivo não consegue se autenticar em um domínio quando a conta for membro do grupo Usuário Protegido.
O protocolo Kerberos não usará os tipos de criptografia DES ou RC4 mais fracos no processo de pré-autenticação. O domínio deve ser configurado para dar suporte pelo menos ao pacote de criptografia do AES.
A conta do usuário não pode ser delegada com delegação restrita ou irrestrita do Kerberos. Se o usuário for membro do grupo Usuários Protegidos, as conexões anteriores com outros sistemas poderão falhar.
Você pode alterar a configuração padrão de tempo de vida de TGTs (tíquetes de concessão de tíquetes) kerberos padrão de quatro horas usando Políticas de Autenticação e Silos no Centro Administrativo do Active Directory. Na configuração padrão, quando quatro horas se passaram, o usuário deve se autenticar novamente.
O grupo Usuários Protegidos se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Esse grupo foi introduzido no Windows Server 2012 R2. Para obter mais informações sobre como esse grupo funciona, consulte o grupo de segurança Usuários Protegidos.
A tabela a seguir especifica as propriedades do grupo Usuários Protegidos:
SID/RID conhecido | S-1-5-21-domain-525<> |
Tipo | Global |
Contêiner padrão | CN=Users, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | Sim |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
Direitos de usuário padrão | Nenhum |
Servidores RAS e IAS
Os computadores que são membros do grupo RAS e servidores IAS, quando configurados corretamente, podem usar serviços de acesso remoto. Por padrão, esse grupo não tem membros. Computadores que executam o RRAS (Serviço de Roteamento e Acesso Remoto) e serviços de acesso remoto, como IAS (Serviço de Autenticação da Internet) e Servidores de Política de Rede, são adicionados automaticamente ao grupo. Os membros desse grupo têm acesso a determinadas propriedades de objetos do Usuário, como restrições de conta de leitura, informações de logon de leitura e informações de acesso remoto de leitura.
O grupo RAS e IAS Servers se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-21-domain-553<> |
Tipo | Builtin Local |
Contêiner padrão | CN=Users, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | Sim |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Sim |
Direitos de usuário padrão | Nenhum |
Servidores de Ponto de Extremidade do RDS
Os servidores que são membros do grupo servidores de ponto de extremidade rds podem executar máquinas virtuais e sessões de host em que programas RemoteApp do usuário e áreas de trabalho virtuais pessoais são executadas. Você deve preencher esse grupo em servidores que executam o Agente de Conexão de Área de Trabalho Remota. Os servidores host de sessão e os servidores de Host de Virtualização de Área de Trabalho Remota usados na implantação devem estar nesse grupo.
Para obter informações sobre o RDS (Serviços de Área de Trabalho Remota), consulte áreas de trabalho do host e aplicativos nos Serviços de Área de Trabalho Remota.
SID/RID conhecido | S-1-5-32-576 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
Direitos de usuário padrão | Nenhum |
Servidores de Gerenciamento de RDS
Você pode usar servidores que são membros do grupo servidores de gerenciamento rds para concluir ações administrativas rotineiras em servidores que executam RDS. Você deve preencher esse grupo em todos os servidores em uma implantação de RDS. Os servidores que executam o serviço de Gerenciamento Central de RDS devem ser incluídos nesse grupo.
SID/RID conhecido | S-1-5-32-577 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
Direitos de usuário padrão | Nenhum |
Servidores de Acesso Remoto rds
Os servidores no grupo servidores de acesso remoto rds fornecem aos usuários acesso a programas RemoteApp e áreas de trabalho virtuais pessoais. Em implantações voltadas para a Internet, esses servidores normalmente são implantados em uma rede de borda. Você deve preencher esse grupo em servidores que executam o Agente de Conexão de Área de Trabalho Remota. Os servidores de Gateway de Área de Trabalho Remota e os servidores de Acesso Web de Área de Trabalho Remota que são usados na implantação devem estar nesse grupo.
Para obter mais informações, consulte áreas de trabalho do host e aplicativos nos Serviços de Área de Trabalho Remota.
SID/RID conhecido | S-1-5-32-575 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | Não |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
Direitos de usuário padrão | Nenhum |
Controladores de Domínio somente leitura
Esse grupo é composto pelos RODCs no domínio. Um RODC possibilita que as organizações implantem facilmente um controlador de domínio em cenários em que a segurança física não pode ser garantida, como em locais de filiais ou quando o armazenamento local de todas as senhas de domínio é considerado uma ameaça primária, como em uma função voltada para extranet ou aplicativo.
Como você pode delegar a administração de um RODC a um usuário de domínio ou grupo de segurança, um RODC é adequado para um site que não deve ter um usuário que seja membro do grupo Administradores de Domínio. Um RODC tem a seguinte funcionalidade:
Contém o banco de dados AD DS somente leitura
Replicação unidirecional
Cache de credenciais
Separação de função de administrador
Contém DNS (Sistema de Nomes de Domínio somente leitura)
Para obter mais informações, consulte Noções básicas sobre planejamento e implantação para controladores de domínio somente leitura.
SID/RID conhecido | S-1-5-21-domain-521<> |
Tipo | Global |
Contêiner padrão | CN=Users, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Replicação de senha RODC negada |
Protegido pelo AdminSDHolder? | Sim |
É seguro movê-lo para fora do contêiner padrão? | Sim |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
Direitos de usuário padrão | Ver Replicação de Senha RODC negada |
Usuários da Área de Trabalho Remota
Use o grupo Usuários da Área de Trabalho Remota em um servidor Host de Sessão de Área de Trabalho Remota para conceder aos usuários e grupos permissões para se conectarem remotamente a um servidor host de sessão de área de trabalho remota. Esse grupo não pode ser renomeado, excluído ou removido. O grupo aparece como um SID até que o controlador de domínio seja feito o controlador de domínio primário e mantenha a função mestre de operações (FSMO).
O grupo Usuários da Área de Trabalho Remota aplica-se ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-32-555 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | Não |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Sim |
Direitos de usuário padrão | Nenhum |
Usuários do gerenciamento remoto
Os membros do grupo Usuários de Gerenciamento Remoto podem acessar recursos da WMI (Instrumentação de Gerenciamento do Windows) por meio de protocolos de gerenciamento, como WS-Management por meio do serviço de Gerenciamento Remoto do Windows. O acesso aos recursos do WMI aplica-se somente a namespaces WMI que concedem acesso ao usuário.
Use o grupo Usuários de Gerenciamento Remoto para permitir que os usuários gerenciem servidores por meio do console Gerenciador do Servidor. Use o grupo WinRMRemoteWMIUsers\_ para permitir que os usuários executem remotamente Windows PowerShell comandos.
Para obter mais informações, consulte o que há de novo no MI? e sobre o WMI.
SID/RID conhecido | S-1-5-32-580 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | Não |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
Direitos de usuário padrão | Nenhum |
Replicador
Computadores que são membros do grupo Replicador dão suporte à replicação de arquivo em um domínio. Os sistemas operacionais Windows Server usam o FRS (Serviço de Replicação de Arquivos) para replicar políticas do sistema e scripts de logon armazenados na pasta Volume do Sistema (pasta sysvol). Cada controlador de domínio mantém uma cópia da pasta sysvol para que os clientes de rede acessem. O FRS também pode replicar dados para o DFS (Sistema de Arquivos Distribuído) e sincronizar o conteúdo de cada membro em um conjunto de réplicas conforme definido pelo DFS. O FRS pode copiar e manter arquivos e pastas compartilhados em vários servidores simultaneamente. Quando ocorrem alterações, o conteúdo é sincronizado imediatamente dentro de sites e em um agendamento entre sites.
Aviso
No Windows Server 2008 R2, você não pode usar o FRS para replicar pastas DFS ou dados personalizados (não sysvol). Um controlador de domínio do Windows Server 2008 R2 ainda pode usar o FRS para replicar o conteúdo do recurso compartilhado de pasta sysvol em um domínio que usa FRS para replicar o recurso compartilhado de pasta sysvol entre controladores de domínio. No entanto, os servidores do Windows Server 2008 R2 não podem usar o FRS para replicar o conteúdo de qualquer conjunto de réplicas, exceto o recurso compartilhado de pasta sysvol. O serviço de Replicação dfs é uma substituição para FRS. Você pode usar a Replicação dfs para replicar o conteúdo de um recurso compartilhado de pasta sysvol, pastas DFS e outros dados personalizados (não sysvol). Você deve migrar todos os conjuntos de réplicas FRS não sysvol para a Replicação dfs.
Para obter mais informações, consulte:
- O FRS (Serviço de Replicação de Arquivos) foi preterido no Windows Server 2008 R2 (Windows)
- Visão geral dos namespaces do DFS e da Replicação dfs
SID/RID conhecido | S-1-5-32-552 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | Sim |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
Direitos de usuário padrão | Nenhum |
Administradores de esquemas
Os membros do grupo administradores de esquema podem modificar o esquema do Active Directory. Esse grupo existe apenas no domínio raiz de uma floresta de domínios do Active Directory. Esse grupo será um grupo Universal se o domínio estiver no modo nativo. Esse grupo será um grupo global se o domínio estiver no modo misto.
O grupo está autorizado a fazer alterações de esquema no Active Directory. Por padrão, o único membro do grupo é a conta Administrador do domínio raiz da floresta. Esse grupo tem acesso administrativo completo ao esquema.
Qualquer um dos grupos de administradores de serviços no domínio raiz pode modificar a associação desse grupo. Esse grupo é considerado uma conta de administrador de serviços porque seus membros podem modificar o esquema, que rege a estrutura e o conteúdo de todo o diretório.
Para obter mais informações, consulte O que é o esquema do Active Directory?
O grupo de administradores de esquema se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-21-root< domain-518> |
Tipo | Universal (se o domínio estiver no modo nativo) mais Global |
Contêiner padrão | CN=Users, DC=<domain>, DC= |
Membros padrão | Administrador |
Membro padrão de | Replicação de senha RODC negada |
Protegido pelo AdminSDHolder? | Sim |
É seguro movê-lo para fora do contêiner padrão? | Sim |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Não |
Direitos de usuário padrão | Ver replicação de senha RODC negada |
Operadores de Servidores
Os membros do grupo Operadores de Servidor podem administrar controladores de domínio. Esse grupo existe somente em controladores de domínio. Por padrão, o grupo não tem membros. Os membros do grupo Operadores de Servidor podem executar as seguintes ações: entrar em um servidor interativamente, criar e excluir recursos compartilhados de rede, iniciar e parar serviços, fazer backup e restaurar arquivos, formatar a unidade de disco rígido do computador e desligar o computador. Esse grupo não pode ser renomeado, excluído ou removido.
Por padrão, esse grupo interno não tem membros. O grupo tem acesso às opções de configuração do servidor em controladores de domínio. Sua associação é controlada pelos grupos de administradores de serviços Administradores e Administradores de Domínio no domínio e pelo grupo administradores corporativos no domínio raiz da floresta. Os membros deste grupo não podem alterar nenhuma associação de grupo administrativo. Esse grupo é considerado uma conta de administrador de serviços porque seus membros têm acesso físico aos controladores de domínio. Os membros desse grupo podem executar tarefas de manutenção, como backup e restauração, e podem alterar binários instalados nos controladores de domínio. Consulte os direitos de usuário padrão do grupo na tabela a seguir.
O grupo Operadores de Servidor se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-32-549 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | Sim |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Não |
Direitos de usuário padrão | Permitir logon localmente: SeInteractiveLogonRight Fazer backup de arquivos e diretórios: SeBackupPrivilege Alterar a hora do sistema: SeSystemTimePrivilege Alterar o fuso horário: SeTimeZonePrivilege Forçar o desligamento de um sistema remoto: SeRemoteShutdownPrivilege Restaurar arquivos e diretórios: Restaurar arquivos e diretórios SeRestorePrivilege Desligar o sistema: SeShutdownPrivilege |
Administradores de réplica de armazenamento
Os membros do grupo Administradores de Réplica de Armazenamento têm acesso completo e irrestrito a todos os recursos da Réplica de Armazenamento. O grupo Administradores de Réplica de Armazenamento aplica-se ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-32-582 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | Não |
É seguro movê-lo para fora do contêiner padrão? | Sim |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Não |
Direitos de usuário padrão | Nenhum |
Contas Gerenciadas pelo Sistema
A associação do grupo Contas Gerenciadas pelo Sistema é gerenciada pelo sistema.
O grupo Contas Gerenciadas do Sistema aplica-se ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-32-581 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Usuários |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | Sim |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Não |
Direitos de usuário padrão | Nenhum |
Servidores de Licença do Terminal Server
Os membros do grupo Servidores de Licença do Terminal Server podem atualizar contas de usuário no Active Directory com informações sobre a emissão de licenças. O grupo é usado para rastrear e relatar o uso de TS por USUÁRIO CAL. Uma CAL TS por Usuário dá a um usuário o direito de acessar uma instância do Terminal Server de um número ilimitado de computadores ou dispositivos cliente. Esse grupo aparece como um SID até que o controlador de domínio seja feito o controlador de domínio primário e mantenha a função mestre de operações (FSMO). Esse grupo não pode ser renomeado, excluído ou removido.
Para obter mais informações sobre esse grupo de segurança, consulte a configuração do grupo de segurança do Servidor de Licenças do Terminal Services.
O grupo Servidores de Licença do Terminal Server se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-32-561 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
Protegido pelo AdminSDHolder? | Não |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Sim |
Direitos de usuário padrão | Nenhum |
Usuários
Os membros do grupo Usuários são impedidos de fazer alterações acidentais ou intencionais em todo o sistema. Os membros desse grupo podem executar a maioria dos aplicativos. Após a instalação inicial do sistema operacional, o único membro é o grupo Usuários Autenticados. Quando um computador ingressa em um domínio, o grupo Usuários de Domínio é adicionado ao grupo Usuários no computador.
Os usuários podem realizar tarefas como executar um aplicativo, usar impressoras locais e de rede, desligar o computador e bloquear o computador. Os usuários poderão instalar aplicativos que só poderão usar se o programa de instalação do aplicativo der suporte à instalação por usuário. Esse grupo não pode ser renomeado, excluído ou removido.
O grupo Usuários se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Esse grupo de segurança inclui as seguintes alterações desde o Windows Server 2008:
No Windows Server 2008 R2, o Interactive foi adicionado à lista de membros padrão.
No Windows Server 2012, a lista de Membros Padrão foi alterada de Usuários de Domínio para nenhum.
SID/RID conhecido | S-1-5-32-545 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Usuários autenticados Usuários de Domínio Interativo |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | No |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
Direitos de usuário padrão | Nenhum |
Acesso à Autorização do Windows
Os membros desse grupo têm acesso ao atributo GroupsGlobalAndUniversal de token computado em objetos user. Alguns aplicativos têm recursos que leem o atributo TGGAU (grupos de token- global e universal) em objetos de conta de usuário ou em objetos de conta de computador no AD DS. Algumas funções Win32 facilitam a leitura do atributo TGGAU. Os aplicativos que leem esse atributo ou que chamam uma API (uma função) que lê esse atributo não têm êxito se o contexto de segurança de chamada não tiver acesso ao atributo. Esse grupo aparece como um SID até que o controlador de domínio seja feito o controlador de domínio primário e mantenha a função FSMO (mestre de operações). Esse grupo não pode ser renomeado, excluído ou removido.
O grupo windows Authorization Access aplica-se ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
SID/RID conhecido | S-1-5-32-560 |
Tipo | Builtin Local |
Contêiner padrão | CN=Builtin, DC=<domain>, DC= |
Membros padrão | Controladores de Domínio Corporativo |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | Não |
É seguro movê-lo para fora do contêiner padrão? | Não é possível mover |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | Sim |
Direitos de usuário padrão | Nenhum |
WinRMRemoteWMIUsers_
Em Windows Server 2012 e Windows 8, uma guia Compartilhar foi adicionada à interface do usuário configurações de segurança avançada. Essa guia exibe as propriedades de segurança de um compartilhamento de arquivos remoto. Para exibir essas informações, você deve ter as seguintes permissões e associações, conforme apropriado para a versão do Windows Server em que o servidor de arquivos está em execução.
O grupo WinRMRemoteWMIUsers_ se aplica ao sistema operacional Windows Server em grupos de segurança padrão do Active Directory.
Se o compartilhamento de arquivos estiver hospedado em um servidor que esteja executando uma versão com suporte do sistema operacional:
Você deve ser membro do grupo WinRMRemoteWMIUsers__ ou do grupo BUILTIN\Administrators.
Você deve ter permissões de leitura para o compartilhamento de arquivos.
Se o compartilhamento de arquivos estiver hospedado em um servidor que esteja executando uma versão do Windows Server anterior a Windows Server 2012:
Você deve ser membro do grupo BUILTIN\Administrators.
Você deve ter permissões de leitura para o compartilhamento de arquivos.
Em Windows Server 2012, a funcionalidade assistência negada do Access adiciona o grupo Usuários Autenticados ao grupo de WinRMRemoteWMIUsers__ local. Quando a funcionalidade de Assistência Negada do Access estiver habilitada, todos os usuários autenticados que tiverem permissões de leitura para o compartilhamento de arquivos poderão exibir as permissões de compartilhamento de arquivos.
Observação
O grupo WinRMRemoteWMIUsers__ permite executar comandos Windows PowerShell remotamente. Em contraste, você normalmente usa o grupo Usuários de Gerenciamento Remoto para permitir que os usuários gerenciem servidores usando o console Gerenciador do Servidor.
SID/RID conhecido | S-1-5-21-domain-variable<>< RI> |
Tipo | Local de domínio |
Contêiner padrão | CN=Users, DC=<domain>, DC= |
Membros padrão | Nenhum |
Membro padrão de | Nenhum |
Protegido pelo AdminSDHolder? | Não |
É seguro movê-lo para fora do contêiner padrão? | Sim |
É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | |
Direitos de usuário padrão | Nenhum |
Confira também
Entidades de segurança
Grupos de identidade especiais
Visão geral do controle de acesso